Pesquisadores de segurança divulgaram na segunda-feira (23) a descoberta de um banco de dados com pelo menos 350 mil senhas de usuários do Spotify surrupiadas por hackers e armazenadas em um servidor em nuvem sem nenhum tipo de senha, disponíveis para quem quisesse acessá-las.
Trabalhando em um projeto que verifica a internet em busca de dados não protegidos, os pesquisadores Ran Locar e Noam Rotem, do site de segurança vpnMentor, se depararam com esse enorme banco de dados, que pode também ter sido descoberto e copiado por outros hackers.
Em entrevista ao site da CNET, Locar alerta sobre um princípio fundamental a ser aplicado ao escolher senhas para contas: “A lição para o usuário final é: não recicle sua senha. Eventualmente, uma delas vai ser exposta”. Para ele, reutilizar uma mesma senha para vários sites e aplicativos é uma das coisas mais arriscadas, pois expõe todos os seus logins.
Como agiram os hackers do Spotify
Os hackers que obtiveram as senhas do Spotify não precisaram violar os sistemas do serviço de streaming. A captura das senhas dependeu apenas de um cache de logins roubados em violações anteriores e um pouco de paciência para testá-los um a um.
Segundo a CNET, os invasores tiveram sucesso simplesmente porque os titulares de contas do Spotify estavam reutilizando senhas de outras contas que possuíam na internet, um erro básico de segurança. Os hackers apenas foram experimentando as combinações no serviço de música, utilizando uma técnica chamada preenchimento de credenciais.
Não ficou claro o que os hackers estavam fazendo com as 150 mil senhas roubadas. Essas contas normalmente são vendidas para outros usuários com desconto ou usadas fraudulentamente para aumentar as execuções de determinadas músicas. O Spotify já solicitou uma redefinição de senha para todos os usuários afetados.
